¿Cómo asegurar los protocolos de enrutamiento Junos
Una forma de proteger a los protocolos de enrutamiento es permitir la autenticación de modo que los protocolos de aceptar el tráfico sólo desde routers conocidos por usted. Este enfoque garantiza que los routers de confianza solamente contribuyen rutas a la tabla de enrutamiento y, por lo tanto, participar en la determinación de cómo el tráfico se encamina a través de la red.
Conteúdo
Para habilitar la autenticación para cada protocolo de enrutamiento por separado.
Asegure Protocolo de información de enrutamiento (RIP)
La autenticación más segura RIP soporta es MD5:
[editar] protocolos fred @ enrutador # establecen estafa tipo de autenticación MD5 [protocolos editar] fred @-clave de autenticación conjunto router rip # key-string
MD5 crea una suma de comprobación codificada, la cual es verificada por el router receptor antes de que acepta paquetes. Debe configurar la misma contraseña en todos los routers RIP en la red y el mismo tipo de autenticación. (RIP también le permite utilizar una contraseña sencilla, no cifrada para la autenticación.)
Secure IS-IS
IS-IS es compatible con MD5 y una autenticación de contraseña simple, que utiliza un texto claro, contraseña sin cifrar. Cuando la autenticación está activada, IS-IS valida que todos los LSP se reciben de los routers de confianza.
Cada área de IS-IS puede tener su propio método de cifrado y contraseña. Los siguientes comandos establecidos cifrado en el IS-IS zona Nivel 2:
[editar] protocolos fred @ enrutador # set nivel isis 2-tipo de autenticación MD5 [protocolos editar] fred @ enrutador # Nivel isis 2-clave de autenticación key-string
Todos los routers dentro de la misma área deben tener la misma clave de autenticación.
Asegure OSPF
OSPF también es compatible con MD5 y una autenticación de contraseña simple. Cuando la autenticación está activada, OSPF valida sus paquetes del protocolo Hello y LSA.
El siguiente comando establece el cifrado OSPF para una interfaz en una zona, aquí el área de red troncal. Para OSPF, debe configurar el cifrado en cada interfaz por separado:
[editar] protocolos fred @ enrutador # set área OSPF interfaz 0.0.0.0 interface-name MD51 clave de autenticación key-string
Routers serán capaces de formar adyacencias sólo sobre las interfaces con otros routers que están configurados para utilizar la misma clave de autenticación para esa red.
Autenticar interlocutores BGP
Sesiones BGP son a menudo objeto de ataques externos de la red debido a que las sesiones son visibles en Internet. Habilitación de la autenticación de los paquetes BGP intercambiados por pares EBGP impide que el router acepte paquetes no autorizadas. Para BGP, también usa MD5. Cada grupo BGP puede tener su propia contraseña de autenticación:
[editar] protocolos fred @ enrutador # grupo conjunto bgp Nombre del grupo -clave de autenticación key-string
También puede configurar las contraseñas de autenticación individuales entre cada par de BGP en una sesión EBGP:
[editar] protocolos fred @ enrutador # grupo conjunto bgp Nombre del grupo vecino dirección autenticación de KeyKey cuerdas
El vecino en una sesión EBGP es a menudo en otro AS, así que asegúrese de coordinar los métodos de autenticación y claves con el administrador de la AS externo.
También puede habilitar la autenticación entre los routers de pares IBGP. Incluso si los compañeros IBGP se encuentran a su dominio administrativo y hacerles saber que puede confiar en los routers, puede valer la pena que permite la autenticación con el fin de prevenir los intentos de falsificar maliciosamente estas sesiones.
Habilitar la autenticación de protocolos de señalización MPLS
Se utiliza un protocolo de señalización con MPLS - ya sea LDP o RSVP - para asignar y distribuir etiquetas a lo largo de una red MPLS. Habilitación de la autenticación para estos dos protocolos garantiza la seguridad de los LSP MPLS en la red.
Habilitación de la autenticación para LDP protege la conexión TCP utilizado para la sesión LDP contra la suplantación de identidad. Junos OS utiliza una firma MD5 para la autenticación del PLD. Puede configurar la misma clave (contraseña) en ambos lados de la sesión LDP:
[editar] protocolos fred @ Router # SET SESSION PLD dirección -clave de autenticación key-string
Autenticación de RSVP garantiza que el tráfico de RSVP aceptado por el router viene de fuentes de confianza. De RSVP utiliza la autenticación MD5, y todos los compañeros en un segmento de red común debe utilizar la misma clave de autenticación (contraseña) con el fin de comunicarse entre sí:
[editar] protocolos fred @ enrutador # interfaz conjunto rsvp interfaz -clave de autenticación key-string